个人信息权利保护 公益诉讼值得推广

    面对消费者个人信息如何保护、如何维权的难题，工信部门约谈、公益诉讼和舆论压力都成为有力武器。不过，为了防患于未然，最好的状态是不让侵权发生。

　　2017年12月24日上午，全国人大常委会副委员长王胜俊作关于网络安全法、全国人大常委会关于加强网络信息保护的决定实施情况的报告时表示，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题，在发现问题后，举报难、投诉难、立案难现象普遍。

  “网络安全监管‘九龙治水’现象仍然存在，权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决，法律赋予网信部门的统筹协调职能履行不够顺畅。”王胜俊说。

　　支付宝经历了年度账单风波，在被舆论质疑和声讨后，连夜发布致歉声明并作出修正。1月10日，因个人征信问题，支付宝又被网信办约谈。

　　与支付宝被舆论推到风口浪尖后的高效应对不同的是，北京百度网讯科技有限公司（简称百度公司）在被江苏省消费者权益保护委员会（下称江苏省消保委）两次约谈后，因仍未整改，被提起了公益诉讼。

　　消费者个人信息如何维护，遇到侵害如何维权，成为摆在人们面前的现实难题。

百度公司涉嫌违法获取

消费者个人信息

　　2017年7月，江苏省消保委结合手机应用市场上侵犯消费者个人信息的情况，对涉及视听应用、图文阅读、金融支付、旅游出行等用户较多且具有一定行业代表性的27家手机App所属企业进行了调查和约谈。之后，大部分企业提交了实质性整改方案，删除了不必要的监听电话、读取短信等敏感权限。

  2017年7月4日，江苏省消保委就手机App侵犯个人信息安全问题向百度公司发送《关于手机应用程序获取权限问题的调查函》，要求其就旗下“手机百度”“百度浏览器”等两款手机APP存在的相关问题派员前来接受约谈。但百度仅书面对问题做了简单说明，并将权限通知及选择等义务推卸给手机操作系统。

  在江苏省消保委多次催促、公开监督下，百度公司于2017年11月接受约谈。但在最终提交的整改方案中，对“手机百度”“百度浏览器”中“监听电话”“读取短彩信”“读取联系人”等涉及消费者个人信息安全的相关权限拒不整改，也未有明确措施提示消费者App所申请获取权限的目的、方式和范围并供消费者选择，无法有效保障消费者知情权和选择权。

  江苏省消保委表示，“手机百度”“百度浏览器”两款手机App在消费者安装前，未告知其所获取的各种权限及目的，在未取得用户同意的情况下，获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限。

　　2017年12月11日，江苏省消保委就百度公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日，南京市中级人民法院已正式立案。

　　对于江苏省消保委的指控，百度公司另有说辞。1月8日，百度公司通过小型媒体沟通会的形式，作出正式回应，称“百度App不会、也没有能力‘监听电话’，而百度App敏感权限均需授权，且用户可自由关闭”。

　　百度方面还称，是小米手机把骚扰电话拦截功能翻译成了“监听电话”造成误解。对此小米MIUI安全中心也很快回应称，调用“READ PHONE STATE”权限后，App确实具备“监听”电话状态能力，可以获取电话呼入、呼出、通话中的状态。

公益诉讼救济可广泛推广

　　尽管此案还未开始审理，但江苏省消保委提起公益诉讼的行为却得到各界一致好评。北京市法学会电子商务法治研究会会长、北京市律师协会消费者权益保护专业委员会主任邱宝昌表示，要为江苏省消保委的公益诉讼行为点赞。

　　“鉴于现在每个人在购物、求职、买房、订餐等多个领域，都会留下个人信息，一旦信息遭泄露，很难查到源头。所以无论从消费者个人的时间、精力和诉讼成本上，还是从取证困难方面，个人维权成本都很高，普通的信息损失最后获得的可能也就止于停止侵权，不能解决根本问题。但是由消费者协会提起公益诉讼，对不特定的多数人的权利进行维护的同时，还能节约诉讼资源、节省诉讼成本和维权成本。”邱宝昌说。

　　中国人民大学法学院副院长、金融科技与互联网安全研究中心主任杨东也表示，在我国缺乏消费者集体诉讼制度的前提下，公益诉讼是很好的救济方式，以后可以广泛推开。除此之外，行业协会也可介入，对违法企业发布警告等。

　　除了支付宝被舆论广泛质疑以外，此前360公司旗下的水滴直播也曾在去年12月份，被一篇名为《一位92年女生致周鸿祎：别再盯着我们看了》的文章指出，水滴直播因实时直播商家店内客人用餐情况，泄露用户隐私。

　　此文反映问题引起轩然大波，不少网民看到文章内容后表示惶恐。随后不久，360公司宣布主动、永久关闭水滴直播平台。在公开信中，该公司团队表示“对于公众直播这块，我们必须承认这个错误”。

　　相比较网信部门约谈和公益诉讼的方式而言，面对网民的声讨，支付宝和百度两家大型互联网公司做出的反应及时又高效，在当前环境下，舆论压力的影响似乎更胜一筹。

　　杨东对民主与法制社记者表示，目前确实需要一套机制在企业侵犯个人信息时，承担较大的舆论压力及法律责任。

　　邱宝昌认为，在经历支付宝年度账单等热点事件后，舆论在谴责支付宝等的同时，要清醒地认识到对个人信息越界收集的行业普遍存在的现实，其他违法的互联网经营者也不能例外。

最好是不让侵权发生

　　相比事后救济，事前的预防更为重要。

　　“如果总靠侵权后的诉讼、约谈，也不是办法。最好的状态应是不让侵权发生。”邱宝昌说，“但这个问题是任重而道远的。”

　　在邱宝昌看来，要强化行政部门的监管作用，一旦企业越界、违法收集信息，就进行严厉处罚，比如吊销执照。这样，他们在做App时，就严格按照合法、正当、必要的规则，没有多余的心思，在事前就防止企业的违法行为。

　　事实上，当前虽有《网络安全法》《个人信息保护规范》《个人信息保护倡议书》等针对网络安全领域的一些问题的规定，但这些条款是分散性的，相关主管部门如何进行权限划分、相互协调仍需一部统一的法律进行规范。

　　而行业内的有些问题仍待各方解决。比如，在南都个人信息保护研究中心发布的《2017个人信息保护年度报告》中特别指出，在网络创业风潮中衰亡的企业，遗留了大量的用户数据，对这些用户数据该如何处理，目前行业还没有达成共识，政府的监管也仍然处于模糊地带。如果这些数据被滥用，不亚于一颗潜藏的“定时炸弹”。

　　杨东表示，根本上还是要靠一部统一的个人信息保护立法，对个人信息权利、互联网公司的义务、损害的救济渠道、程序等内容作出详细规定，让舆论压力、行业约束及法律责任三管齐下。

　　邱宝昌还表示，目前在网络信息安全领域，征信处罚的应用状态还不够理想，在这方面应该多加强宣传。就像大家都知道“股市有风险”一样，也要知道失信的风险，知道诚信的重要性。